Final checklist

운영 전에는 로그인 왕복, 세션 노출, 권한 검사를 끝까지 확인한다

설정 파일이 존재하는 것만으로는 부족하다. 실제 사용자가 로그인하고 돌아와 보호 페이지에 접근하는 흐름을 검증해야 한다.

Env비밀값 분리

secret과 provider secret이 서버 환경 변수에만 있고 저장소에 없다.

OAuthcallback 일치

provider 콘솔 URL과 `NEXTAUTH_URL` 기반 callback이 같다.

RouteGET/POST 처리

signin, callback, signout 요청이 route handler에서 처리된다.

Session노출 값 제한

클라이언트 session에는 UI와 권한에 필요한 값만 담긴다.

Server보호 페이지

서버에서 세션과 role을 확인하고 미인증 접근을 막는다.

Client상태 표시

loading, authenticated, unauthenticated UI가 각각 자연스럽다.

최종 기준은 “로그인 성공”이 아니라 “인증 상태가 서버 권한 검사와 클라이언트 UI에서 같은 의미로 쓰이는가”이다.